icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest
adblockers-glurende-websites_1200x800px

De 5 grootste privacy ergernissen:

gaat de AVG daar iets aan veranderen? Lees meer

Browser fingerprinting: gevolgd worden zonder cookies

Websites kunnen je volgen via trackingcookies. Die kun je uitzetten in de browser. Maar ook zonder cookies kunnen websites je herkennen. Hoe werkt het en wat kun je ertegen doen?
Andre van Zwet
Andre van Zwet

Expert Elektronica

Gepubliceerd op:  4 juli 2018

veilig-surfen

Wat is fingerprinting?

Device fingerprinting is een techniek die gebruikmaakt van een simpel gegeven. Computers verschillen - altijd - van elkaar. Denk aan verschillen in besturingssysteem, browserversie, schermresolutie en nog veel meer gegevens.

Die combinatie kan een unieke vingerafdruk opleveren waar de bezoeker aan te herkennen is. Die vingerafdruk wordt gebruikt om fraude of misbruik van de website te voorkomen, maar ook om gericht te adverteren. 

Twee soorten fingerprinting

Er zijn 2 soorten fingerprinting. Bij passieve fingerprinting gebruikt de website de eigenschappen die je browser automatisch doorgeeft als je de website bezoekt. Bijvoorbeeld de schermresolutie, versie van de browser en het besturingssysteem. Het nadeel (voor de website) is dat het aantal kenmerken beperkt is, en minder unieke profielen oplevert.

Daarnaast is er actieve fingerprinting, waarbij de website uit de browser unieke kenmerken probeert los te peuteren. Een bekende variant is font fingerprinting: het opvragen van de lijst met alle lettertypes.

Canvas fingerprinting

Een subtielere variant is canvas fingerprinting. De website draait een scriptje dat je browser de opdracht geeft om een onzichtbare tekening maken. Omdat iedere browser die tekening op een net iets andere manier maakt, ben je hieraan vaak te herkennen.

Audiocontext fingerprinting

Nog exotischer is audiocontext fingerprinting, een techniek waarbij de pc een onhoorbaar geluid produceert, dat voor elke combinatie van apparaat en browser uniek is. Volgens Amerikaans onderzoek komt deze vorm in de praktijk echter (nog) nauwelijks voor.

Hoe vaak komt het voor?

Onderzoekers van de Princeton-universiteit onderzochten in 2014 100.000 websites en troffen op 5% canvas fingerprinting aan. Recente metingen van adblocker Ghostery leveren echter een veel hoger percentage op. 

Wij deden eind mei 2018 onderzoek naar online tracking op 150 websites en onderzochten ook canvas fingerprinting. In onze eigen steekproef sloeg onze 'fingerprinting-detector' aan bij 18 van de 150 sites (12%). Hier zitten opvallend veel nieuwssites bij van TMG (onder andere telegraaf.nl), de Persgroep (onder andere ad.nl) en Sanoma (onder andere nu.nl). Daarnaast zien we grote namen als abnamro.nl, facebook.com, funda.nl, groupon.com en transavia.nl.

Waarom gebruiken websites fingerprinting?

De nieuwsbedrijven Persgroep en TMG zeggen dat ze fingerprinting gebruiken voor marketing en advertenties. Dat gebeurt ná de cookiemelding. Dus de sites vragen hiervoor wel toestemming. De Persgroep heeft de adverteerders die de fingerprinting-scripts plaatsen, gevraagd om die scripts te verwijderen. Sanoma reageerde niet.

Fingerprinting wordt vaker ingezet om fraude en misbruik te bestrijden. Je kunt met deze techniek veelvuldig bezoek vanaf dezelfde pc herkennen. Funda.nl laat weten de techniek te gebruiken tegen spidering (het geautomatiseerd kopiëren van website-inhoud). Abnamro.nl zet het middel in voor fraudepreventie en -detectie en transavia.nl tegen ddos-aanvallen die de website plat kunnen leggen.

Websites onduidelijk over fingerprinting

Uit reacties van de ondervraagde websites blijkt dat fingerprinting zelden expliciet wordt genoemd. Soms vermelden ze helemaal niets (bv. abnamaro.nl en transavia.nl), of niet duidelijk. Dan staat in de melding ‘cookies en vergelijkbare/andere technieken’. Zonder die specifiek bij naam te noemen. Dat is op zijn minst verwarrend, omdat fingerprinting op een hele andere manier werkt dan cookies en niet met een browserinstelling te blokkeren is.

Wat kun je ertegen doen?

Tegen passieve fingerprinting is nog weinig te doen. Al heeft Apple aangekondigd dat de Safari-browser alle vormen van tracking gaat blokkeren, óók passieve fingerprinting: ‘Your Mac will look more like everyone else’s Mac.’

Actieve fingerprinting gebeurt in de browser en is daardoor te herkennen – en te blokkeren – door een goede adblocker. Sinds kort werken adblockers als Ghostery behalve met zwarte lijsten van bekende scripts ook met kunstmatige intelligentie die zelfstandig nieuwe vormen van fingerprinting herkennen.

Je kunt voor Chrome en Firefox ook een losse extensie installeren die canvas fingerprinting herkent en tegengaat: Canvas Defender.

Test: hoe uniek is jouw browser?

Testen hoe uniek de ‘canvas fingerprint’ van je browser is? Ga naar browserleaks en kijk onder het kopje 'Your Fingerprint' bij 'Uniqueness'. Hoe dichter bij de 100%, des te beter ben je als individu te herkennen.

Let op: na het installeren van Canvas Defender zal je vingerafdruk 100% uniek zijn. In dit geval is dat wel een goed teken, omdat Canvas Defender expres een neppe unieke vingerafdruk afgeeft. 

Lees meer:

Nieuw & interessant

  • Mediapool MG-Veilig online1200x800
    22 aug.

    Bescherm je privacy én je computer

    Denk naast je online-privacy ook aan veilig internetten. Vraag de gratis Minigids Veilig online aan met tips hoe je nepmails herkent, oplichting op Marktplaats voorkomt of een virusscanner kiest.

  • tracking-cookies
    Nieuws  |  4 jul.

    Meerderheid sites overtreedt privacywet

    Websites moeten netjes om toestemming vragen voor het plaatsen van tracking cookies. En sinds de de nieuwe privacywet (AVG) moeten websites dat ook op een bepaalde manier doen. Slechts 31% van de websites voldoet aan de regels.
  • facebook-gezichtsherkenning
    Nieuws  |  26 jun.

    Gezichtsherkenning uitschakelen lastig

    Facebook vraagt je deze week om in te stemmen met automatische gezichtsherkenning in foto’s en video’s. Het afwijzen van deze privacyschending kost wel enig doorzettingsvermogen.
  • misleidende-privacyschermen
    Nieuws  |  25 jun.

    Techreuzen tonen misleidende privacyschermen

    Google, Facebook en Microsoft gebruikten de afgelopen maanden trucjes in hun privacymenu’s. Ze verleiden consumenten om meer gegevens af te staan dan nodig is. Dat lijkt ons in strijd met de Algemene Verordening Gegevensverwerking.